标签: security xss
可能重复: What are the security risks of setting Access-Control-Allow-Origin?
我只是不想检查我在这里没有忽略的东西......
如果我设置access-control-origin: *而不允许基于会话的身份验证,那么当我使用访问令牌请求时,我可以安全地提供私人数据,对吗?我甚至可以允许发布请求。只要给出了有效的访问令牌,我就无法想到任何攻击这样的系统的方法。
access-control-origin: *
这里有洞吗?